The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.12.2016 09:22  В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах

Исследователи из компаний ESET и Malwarebytes выявили вредоносное ПО, с сентября незаметно атаковавшее системы пользователей, распространяясь через рекламные блоки на популярных сайтах. Особенностью вредоносного ПО, получившего название Stegano, стало то, что используемый для атаки код был интегрирован в PNG-изображения при помощи методов стеганографии.

Вредоносная реклама, на которой предлагались продукты "Browser Defence" и "Broxu", была зафиксирована на многих крупных сайтах, в том числе Yahoo Mail, MSN и нескольких новостных изданиях с аудиторией более миллиона пользователей в день. Из рекламных сетей, в которых был замечен вредоносный баннер, отмечаются SmartyAds и Yahoo Ad Network. Вредоносные баннеры в основном показывались пользователям из Канады, Великобритании, Австралии, Испании и Италии.

При помощи специальной формулы вредоносный JavaScript-код был преобразован в набор пикселей, который накладывался на имеющееся в PNG-файле изображение с корректировкой для наложенных пикселей уровня прозрачности, делающей изменения незаметными, но позволяющей при желании восстановить добавленный набор данных. В рекламные сети добавлялась PNG-картинка с сопутствующим JavaScript-кодом для формирования баннера (многие рекламные сети перешли на HTML5-баннеры и допускают выполнение JavaScript-кода, качество проверки которого оставляет желать лучшего). На первый взгляд код выглядел безобидно, но на деле в процессе обработки баннера восстанавливал спрятанный в него вредоносный JavaScript-блок и передавал ему управление.

Примеры картинок с вредоносными вставками:

После активации вредоносный код инициировал отправку браузером пользователя запроса на специально подготовленный проверочный сервер, контролируемый злоумышленниками, который на основании имеющихся данных принимал решение о целесообразности продолжения атаки. При поступлении запроса от Internet Explorer выполнялась специальная проверка, использующая уязвимость в браузере (CVE-2016-0162) для подтверждения, что запрос поступил из системы реального пользователя, а не симулирован анализаторами трафика.

Также осуществлялась попытка определения установки на системе пользователя антивирусного ПО, запуска браузера в контейнерах или системах виртуализации, применения анализаторов сетевых пакетов, в случае выявления которых соединение обрывалось. Если запрос не вызывал подозрений и были выявлены признаки наличия уязвимого ПО, пользователь перенаправлялся на финальный этап атаки, в ходе которого загружался набор эксплоитов, пытающихся получить управление над системой при помощи эксплуатации распространённых уязвимостей в Adobe Flash. После успешной атаки в систему пользователя внедрялся вредоносный код, способный перехватывать пароли, журналировать нажатие клавиш, создавать скриншоты, скрыто записывать видео через web-камеру и предоставлять скрытый доступ к системе.



  1. Главная ссылка к новости (http://www.welivesecurity.com/...)
  2. OpenNews: В реализации WebGL из состава Firefox 4 найдена уязвимость
  3. OpenNews: В Firefox 5 будет отключена поддержка междоменных текстур WebGL
  4. OpenNews: Потенциальная уязвимость в технологии CSS Shaders
  5. OpenNews: Стеганографический веб-сервис DarkJPEG
  6. Предупреждение о появлении вредоносного кода в Google AdSensе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 09:39, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +51 +/
    Ну вот, теперь AdBlock перестанут пытаться прикрыть. Теперь это не блокировщик рекламы, а антивирус!
     
     
  • 2.46, prokoudine (ok), 16:57, 07/12/2016 [^] [ответить]    [к модератору]
  • +3 +/
    > Ну вот, теперь AdBlock перестанут пытаться прикрыть.

    Там уже фракталы.

    https://twitter.com/etargetru/status/715545033634611200

     
  • 1.3, botman (ok), 09:43, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    Стенография и стеганография - разные вещи. На картинке написано про стеганографию.
     
     
  • 2.26, Гостище (?), 11:47, 07/12/2016 [^] [ответить]    [к модератору]
  • +1 +/
    А кто спорит-то?
    Там обычная стеганография, знакомая людям уже несколько тысячелетий.
     
  • 1.4, Аноним (-), 09:43, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    Internet Expolrer - всё понятно
     
     
  • 2.52, soarin (ok), 19:16, 07/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    К сведению: Описанная уязвимость в нём залатана в апреле 2016 года.
     
     
  • 3.84, Аноним (-), 16:56, 08/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Еще скажи главное когда в Adobe Trash все дыры залатают.
     
  • 2.75, Аноним (-), 12:40, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > через уязвимость в Flash

    А это непонятно? ;)

     
  • 1.6, Аноним (-), 09:44, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    И еще нам расскаывают как бедные рекламодатели не могут выжить и заработать себе на кусок хлеба, так как пользователи не хотят смотреть рекламу.
     
     
  • 2.13, J.L. (?), 10:19, 07/12/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    вот они и вынуждены зарабатывать себе на кусочек масла с помощью продажи ботсете... весь текст скрыт [показать]
     
  • 1.7, Семилетов (ok), 09:46, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в ВМ. Сама ВМ работает из под отдельного пользователя. Мне есть чего бояться?
     
     
  • 2.8, Аноним (-), 09:55, 07/12/2016 [^] [ответить]    [к модератору]  
  • +13 +/
    нанороботов
     
  • 2.11, Аноним (-), 10:03, 07/12/2016 [^] [ответить]    [к модератору]  
  • +16 +/
    да, паранойи =)
     
  • 2.14, J.L. (?), 10:23, 07/12/2016 [^] [ответить]     [к модератору]  
  • +/
    тор и распоследний фокс в его основе недавно ломали в виртуалках тоже дырки за... весь текст скрыт [показать]
     
     
  • 3.27, Гостище (?), 11:50, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Ага. Лично я, из тара распаковываю профиль в tmpfs
     
  • 2.15, Аноним (-), 10:23, 07/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Поставьте лучше uBlock Origin, uMatrix. Stylish еще когда-то помогал с ненужными CSS справляться.
     
     
  • 3.25, PnDx (ok), 11:12, 07/12/2016 [^] [ответить]     [к модератору]  
  • +/
    uBlock Origin 1 10 списки для РФ вынос социалок последний firefox вытека... весь текст скрыт [показать]
     
     
  • 4.29, Гостище (?), 11:56, 07/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    firefox-esr --profile /tmp/username/.firefox --new-instance
    Запущено с 9 ноября, не утекло.
    Расширения: Policeman + uBlock Origin
     
  • 4.85, Аноним (-), 16:58, 08/12/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Палишься, рекламщик Потому что я недавно видел лиса с uBlock uMatrix запущенн... весь текст скрыт [показать]
     
     
  • 5.96, J.L. (?), 12:59, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    у меня тоже долго запущено и не течёт, но буквально месяц назад что-то произошл... весь текст скрыт [показать]
     
  • 2.16, Аноним (-), 10:25, 07/12/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации уязвимостей не спасёт. Лучший адблок - это резать адреса на роутере.
     
     
  • 3.20, лютый жабист___ (?), 10:34, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации уязвимостей не спасёт.

    Если скрывает, то как ОНИ определяют, что он есть?


     
     
  • 4.97, Lain_13 (ok), 17:38, 09/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Срабатывание на популярные фильтры скрытия это второй по популярности способ определения адблока. Первый — блокировка скрипта с именем, попадающим под общие правила блокировки.
     
  • 3.21, Аноним (-), 10:34, 07/12/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    > Этот ваш адблок не режет рекламу, а скрывает

    Ложь. Смотрите Network Log в лисе, снифайте трафик.

     
     
  • 4.37, Аноним (-), 13:31, 07/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    uBlock Origin режет не все, некоторую рекламу он просто скрывает.
     
     
  • 5.48, Аноним (-), 17:26, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Как и остальные блокеры, в общем-то. Есть 2 типа фильтров - сетевые и косметические, первые блокируют, вторые скрывают.
     
  • 5.72, DmA (??), 10:16, 08/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Лучше в uMatrix заблокировать весь трафик с любых сторонних сайтов и не беспоко... весь текст скрыт [показать]
     
  • 5.86, Аноним (-), 17:00, 08/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Некоторая реклама интегрирована в контент Например, если я напишу к коменте ... весь текст скрыт [показать]
     
  • 3.53, Аноним (-), 21:48, 07/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    пользователь Хрома проецирует его проблемы на другие браузеры?
     
  • 3.95, J.L. (?), 12:55, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    имхо вы путаете фоксовские эдьоки и хромовские - у хрома вроде бы нельзя было не... весь текст скрыт [показать]
     
  • 2.19, лютый жабист___ (?), 10:33, 07/12/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    >Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в ВМ. Сама >ВМ работает из под отдельного пользователя. Мне есть чего бояться?

    Для начала винду убрать.

     
     
  • 3.62, Аноним (-), 22:35, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Для начала винду убрать.

    Да, винда вызывает гемофтальм у некоторых. И другие нарушения.


     
     
  • 4.77, Аноним (-), 12:44, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    После долгого использования ОС Windows у пациентов наблюдался амавроз и геморрой.
     
  • 2.30, КО (?), 12:10, 07/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Если в этом браузере вы введете данные своей кредитки, то все ранее перечисленно... весь текст скрыт [показать]
     
  • 2.76, Аноним (-), 12:41, 08/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Выходи на новый уровень В интернет только с чужих машин, из другого города ... весь текст скрыт [показать]
     
     
  • 3.88, Аноним (-), 17:03, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Выходи на новый уровень! В интернет только с чужих машин, из другого города.

    Это реклама услуг ботнетов? Безобразие, куда адблокеры смотрят.

     
     
  • 4.98, Аноним (-), 19:20, 09/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Это GNU/реклама GNU/дядюшки Столлмана.
     
  • 2.100, forsaken (?), 19:29, 13/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Бойся антивируса, который у тебя установлен. Антивирус - потенциальная дыра в безопасности
     
     ....нить скрыта, показать (27)

  • 1.12, Аноним (-), 10:13, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Ну т.е. когда мне говорят, что AdBlock - это воровство денег, это нормально, а что это защита от такого вот треша - это побоку?
     
     
  • 2.17, Аноним (-), 10:26, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Забавно, автоюристы обворовывают страховщиков, адблокеры - рекламодателей, когда за не покупку яфонов уже закрывать начнут?
     
     
  • 3.63, Аноним (-), 22:36, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    А за непокупку ведрофонов как будут карать?


     
     
  • 4.73, Харитон (?), 11:11, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    двойной покупкой мастдайфонов
     
     
  • 5.78, Аноним (-), 12:45, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > двойной покупкой мастдайфонов

    А если я уже купил обычную звонилку, за мной уже выехали? :(

     
  • 2.54, Аноним (-), 21:50, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Вам никогда не доводилось слышать о готтентотской этике?
     
  • 1.22, Аноним (-), 10:42, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Похоже вири уже значительно расширили целевые системы:
    https://www.opennet.ru/openforum/vsluhforumID15/4338.html#5
     
  • 1.23, DmA (??), 10:54, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    По российскому законодательству можно на них в суд подать за распространение зловредных программ, до 7 лет тюрьмы могут впаять!
    Заодно рекламным компаниям считай каюк будет на территории России. Следом рухнут поисковые системы, так как их содержат как раз рекламные компании типа Яндекс, Гугл итд
    Интересно как будет выглядеть Интернет без поисковых систем? Снова будут каталоги сайтов делать как на заре Интернета?(типа Yahoo)?
     
     
  • 2.24, Аноним (-), 11:02, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    >Интересно как будет выглядеть Интернет без поисковых систем?

    Никак. За прошедшие годы интернет так разросся, что без индексации он разом превращается в кванмён.

     
     
  • 3.42, Аноним (-), 14:40, 07/12/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    клоун Интернет делят на белый, чёрный и серый в зависимости от возможности поис... весь текст скрыт [показать]
     
     
  • 4.79, Аноним (-), 12:48, 08/12/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    50 оттенков серого Скорее уж в чёрную В серой тоже следят же ... весь текст скрыт [показать]
     
     
  • 5.101, Урри (?), 15:25, 14/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Бу-га-га Верьте в честность поисковиков ... весь текст скрыт [показать]
     
  • 2.31, Аноним (-), 12:24, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    >>в суд подать за распространение зловредных программ

    на Microsoft за Windows 10 тоже можно подать, толку то?

     
     
  • 3.64, Аноним (-), 22:39, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > на Microsoft за Windows 10 тоже можно подать, толку то?

    Какие у вас к ним судебные претензии?


     
     
  • 4.74, Харитон (?), 11:14, 08/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Агрегация персональных данных Нет Но подать в суд тяжело - так как подразумев... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 14:53, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Будут продолжать продавать текстовые банеры и позицию в поиске.
     
  • 2.55, Аноним (-), 21:52, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    подать в суд-то можно, только вот на юристах разоришься, эти компании зарегистрированы отнюдь не у нас
     
  • 2.71, анон (?), 06:03, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Вы имеете ввиду намеренное распространение зловредных программ? Тогда вам всего лишь нужно доказать в суде что они заранее знали о зловредах в баннерах
     
  • 1.28, Аноним (-), 11:51, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    И эти маркетолухи еще огрызаются, не хотите жрать нашу рехламу, уууууу....
     
     
  • 2.36, Аноним1921 (?), 13:31, 07/12/2016 [^] [ответить]    [к модератору]  
  • –4 +/
    В Южном Парке 19 сезон, трилогия про рекламу ) Там хорошо сказано на этот счет. Всем рекомендую.
     
     
  • 3.51, Нимус (?), 18:23, 07/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Уроки все уже выучил, домашку сделал?
     
     
  • 4.59, Аноним (-), 22:01, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Южный Парк - 16+
     
  • 4.80, Аноним (-), 12:49, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Уроки все уже выучил, домашку сделал?

    А почему ви таки спрашиваете?

     
     
  • 5.89, HIMEM.SYS (?), 19:51, 08/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Видать хочет списать XD
     
  • 2.56, Аноним (-), 21:54, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    они правильно огрызаются, так как монетизировать иначе их деятельность не получается в рамках существующей системы и положения вещей
     
  • 1.32, Аноним (-), 12:39, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Никогда такого не было и вот опять...
     
  • 1.33, trdm (ok), 12:42, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > и скрыто записывать видео через web-камеру.

    Давно на свою камеру носок повесил. Жаль что она запахи не транслирует...

     
     
  • 2.65, Аноним (-), 22:43, 07/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Вот это действительно в духе Столлмана Только всем шпионам, которые пытаются за... весь текст скрыт [показать]
     
     
  • 3.91, Аноним (-), 04:30, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    А чтобы был профит - можно подсунуть гамнюкам фэйковую камеру Пусть смотрят, гл... весь текст скрыт [показать]
     
  • 1.34, Fantomas (??), 13:07, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А как можно определить применения анализаторов сетевых пакетов?
     
     
  • 2.38, Аноним (-), 13:49, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Можно по-разному. Как и применение ножей. Но судью будет интересовать не определение применения, а умысел.
     
     
  • 3.40, Fantomas (??), 13:57, 07/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Захотелось вцепиться зубами и пососать еще теплой крови.
    ))))))))))))))))
     
     
  • 4.81, Аноним (-), 12:50, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Захотелось вцепиться зубами и пососать еще теплой крови.

    С учётом твоего ника, ничего странного в этом нет.

     
  • 1.39, Fantomas (??), 13:56, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Немного не так спросил.
    Как управляющий сервер определит, что я запустил анализаторов сетевых пакетов?
    Например неразборчивый режим сетевухи, но если виндяка на виртуалке, а анализатор на хост машине?
     
     
  • 2.66, Ordu (ok), 00:02, 08/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Если виндяка на виртуалке, а анализатор на хост машине, то, видимо, должна отраб... весь текст скрыт [показать]
     
     
  • 3.92, Аноним (-), 04:36, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Правильно Негодяи теперь стали использовать ARP-пойзонинг и перехватывают не ве... весь текст скрыт [показать]
     
  • 1.44, Аноним (-), 15:22, 07/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    если у сайта есть возможность распространять ПО - это ошибка или в браузере, или в HTTP
     
     
  • 2.57, Аноним (-), 21:56, 07/12/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    defective by design
     
  • 2.93, Аноним (-), 04:39, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    У браузеров возможность выполнять JS есть с незапамятных времен Но он выполняет... весь текст скрыт [показать]
     
     
  • 3.99, Аноним (-), 19:22, 09/12/2016 [^] [ответить]    [к модератору]  
  • +/
    С учётом появления довольно сомнительных стандартов в HTML5 и (S)CSS, скоро и JS не нужен будет.
     
  • 1.58, Аноним (-), 21:59, 07/12/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Блин, мы в будущем Когда уже научатся вставлять нам невидимый рекламный код пря... весь текст скрыт [показать]
     
     
  • 2.82, Аноним (-), 12:58, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    http://liberatum.ru/e/altlinux-rose-from-the-grave
     
  • 1.69, Аноним (-), 00:42, 08/12/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Говорили что без Adobe Flash будет лучше, а оказывается HTML5 ещё большая дырень... весь текст скрыт [показать]
     
     
  • 2.70, Ordu (ok), 03:04, 08/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Пока ещё нет. Эта схема использует уязвимый flash-player для распространения зловредов. Но прогресс, конечно, налицо: атака начинается именно с уровня html5.
     
     
  • 3.90, Аноним (-), 23:24, 08/12/2016 [^] [ответить]    [к модератору]  
  • +/
    слово зловред в отношении неодушевленных предметов, а тем более явлений крайне неуместно, так как они не могут быть злыми, хот могут быть вредными
    то есть они не могут наносить вред со зла
     
     
  • 4.94, Аноним (-), 04:41, 09/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Это как сказать Когда тебе какой-нибудь duq пропатчит фирмварь винча без очевид... весь текст скрыт [показать]
     
  • 1.83, Алекс (??), 16:41, 08/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Такого рода картинки я часто встречал на торрент-трекерах, где можно фильмы разные скачать. Правда никогда на них не жал. Особенно картинки где приведен пример 2.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor